- Kateřina Kubíková
1. Jsou na kybernetickou bezpečnost vyčleněné zdroje?
Zajištění kybernetické bezpečnosti vyžaduje nejen finanční, ale i lidské a technické zdroje. Vedení společnosti by mělo s nákladem na kybernetickou bezpečností počítat ve svém rozpočtu a alokovat dostatečné finanční prostředky na zavedení a udržování bezpečnostních opatření. Kromě financí je důležité mít kvalifikované odborníky a techniku.
Kyberbezpečnost by měla být tématem pro každou společnost. Zejména pro vedení, které by mělo mít alespoň základní přehled o stavu kybernetické bezpečnosti ve své společnosti. Rostoucí hrozby a nové legislativními požadavky totiž vyžadují čím dál větší pozornost.
Přestože kybernetická bezpečnost nemusí být prioritou společnosti, která se na ni přímo nespecializuje, je dobré se na ni podívat v širším kontextu. Jak dobře chráníme své systémy a data? A jsme připraveni čelit novým kybernetickým výzvám?
2. Kde máme nejslabší místa?
Řízení aktiv a rizik je možná tou nejdůležitější součástí kybernetické bezpečnosti. Identifikace nejslabších míst ve společnosti začíná důkladnou analýzou aktiv a rizik. Tento proces pomáhá určit, která aktiva jsou nejdůležitější a jaká rizika je ohrožují. Je důležité stanovit priority, protože v praxi není možné řešit vše najednou. Řízení rizik je neustálý proces, který vyžaduje pravidelnou aktualizaci a přizpůsobení novým hrozbám.
3. Jaké je povědomí o kybernetické bezpečnosti mezi zaměstnanci?
Lidský faktor – často nejslabší článek v bezpečnostním řetězci společností. Pravidelná školení a osvěta mohou výrazně snížit riziko úspěšných útoků. Aktuální a pravidelná školení mají nejlepší výsledky, protože zaměstnanci si lépe osvojí potřebné dovednosti a znalosti.
4. Zálohujeme naše systémy a data pravidelně?
Pravidelné zálohování nejvíce oceníte například při obnově dat po kybernetickém útoku, jakým je třeba ransomware. Zálohy by měly být bezpečně uloženy a pravidelně testovány.
Věděli jste, že...
5. Co budeme dělat, když nastane incident?
Rychlá a efektivní reakce na incidenty může výrazně minimalizovat škody. Plány (tzv. business continuity plány a disaster recovery plány) by měly zahrnovat jasné postupy pro reakci a obnovu po incidentu. Chaos při řešení vážných incidentů přidává další stres v již tak krizové situaci, což může situaci ještě zhoršit.
6. Co víme o svých dodavatelích?
Řízení dodavatelů patří mezi další důležitou součást kybernetické bezpečnosti, protože dnešní kybernetické útoky se často dějí prostřednictvím dodavatelů, kteří nemají dostatečnou ochranu. Proto je dobré mít zmapované dodavatele, kteří jsou těžce nahraditelní a kam a k čemu mají ve vaší společnosti přístup.
7. Je ve společnosti (funkční) bezpečnostní dokumentace?
Nejen plány na incidenty, ale i další postupy je potřeba mít zdokumentované. Pro mnoho společností to je (a bude) povinnou součástí jejich kybernetické bezpečnosti, zejména kvůli novému zákonu o kybernetické bezpečnosti.
Bezpečnostní politiky by měly být také pravidelně aktualizované, a hlavně v praxi využívané. Stejně jak dokumentace by neměla být jen formální záležitostí, ale skutečně funkčním nástrojem, který se aktivně používá a přizpůsobuje aktuálním potřebám a hrozbám.
8. Kdo má kam jaký přístup?
Kontrola přístupu = alfa omega kybernetické bezpečnosti. Zaměstnanci ve společnosti by měli mít vždy přístup pouze k těm datům a systémům, které opravdu potřebují pro svou práci. Díky tomuto přístupu minimalizujete riziko neoprávněného přístupu a zneužití citlivých informací.
Nezapomeňte také přístupová práva pravidelně revidovat. Zaměstnanci, kteří již ve vaší společnosti nepracují, by neměli mít přístup k firemním systémům a datům. Pravidelné revize pomáhají zajistit, že přístupová práva jsou aktuální a odpovídají současným potřebám společnosti.
9. Jak jsme na tom s fyzickou bezpečností?
Dokonce i fyzická bezpečnost je součástí kybernetické bezpečnosti. Serverovna, kde máte uložená klíčová data a infrastruktura, musí být chráněny před fyzickými hrozbami, které může způsobit třeba voda, vítr nebo oheň. Fyzická bezpečnost obsahuje také zamezení neoprávněnému vstupu, ochranu zařízení před poškozením, krádeží anebo i neoprávněnými zásahy. Nepodceňuje a pravidelně revidujte i fyzické přístupy.
10. Které normy na nás dopadají?
Legislativa v oblasti kybernetické bezpečnosti se neustále vyvíjí a přináší nové požadavky, které musí společnosti splňovat. Nový zákon o kybernetické bezpečnosti vstoupí v platnost pravděpodobně v polovině roku 2025. Nejedná se však o jedinou legislativu. Máme tu také nařízení DORA, které se zaměřuje na zvýšení digitální odolnosti finančních institucí nebo nařízení MiCA, která zase reguluje trh s kryptoaktivy.
